Sanzionato l’ente municipale per aver utilizzato illegittimamente fototrappole attraverso la società di gestione dei servizi ecologici (provv.162 del 28/04/2022)
Abstract: Il Comune di Taranto aveva dato incarico alla società municipalizzata che gestisce i servizi ecologici, di installare un sistema di videosorveglianza, anche con fototrappole, che utilizzava anche con il contributo della Polizia Municipale, per sanzionare i cittadini che abbandonavano rifiuti in maniera illegittima, come si è già detto questo non è ammissibile e pertanto il Garante ha contestato la mancanza della valutazione d’impatto-DPIA che è sempre obbligatoria, la mancata nomina a responsabile del trattamento dei dati della società ecologica, l’omissione dell’informativa e delle tabelle di avviso di accesso a un’area videsorvegliata conformi alle norme, la diffusione dei video e delle immagini degli inquinatori sui social network. Queste grandi somme non devono essere pagate dai cittadini, ma dagli amministratori e dai funzionari comunali, come già ha iniziato a infliggere la Corte dei Conti
Keywords: #garanteprivacy #garanteprotezionedatipersonali #sanzioniprivacy #sanzionigaranteprivacy #GDPR #fototrappole #valutazioneimpatto #diffusioneillecita #facebook #tabelleinformativeprivacy #RTD #responsabiletrattamentodati #nominaresponsabiletrattamentodati #ComuneTaranto #Taranto #Puglia #TA #MassimilianoMancini #ethicasocietas #ethicasocietasupli
Il fatto illecito
Il Comune di Taranto, per contrastare il fenomeno dell’abbandono dei rifiuti, nel 2012 ha conferito al personale della società che gestisce i servizi ecologici, totalmente partecipata dall’amministrazione comunale, delle funzioni di accertamento e contestazione immediata degli illeciti amministrativi derivanti dalla violazione delle norme regolamentari comunali sullo smaltimento dei rifiuti.
Per questo scopo sono state installare dei sistemi di videosorveglianza e anche fototrappole nei siti più sensibili, dove gli abbandoni si ripetono.
Le aree sottoposte a videosorveglianza non erano segnalate in modo che tutte le persone fisiche che fossero entrate nel raggio di azione delle telecamere potessero ricevere un’informativa completa.
La società municipalizzata che gestisce il servizio di raccolta dei rifiuti urbani per il Comune di Taranto, ha anche diffuso sul proprio profilo Facebook video e immagini di soggetti che abbandonavano illegittimamente rifiuti, dai quali erano identificabili i soggetti interessati.
La Direzione Polizia Locale di Taranto è stata incaricata di curare i conseguenziali adempimenti relativi alla verifica del pagamento in misura ridotta ovvero all’attivazione del procedimento ex art 18 L.n. 689/81.
I verbali di accertamento di illecito amministrativo sono stati elevati su carta cointestata della società e del corpo di polizia locale del Comune, nel quale esplicitamente si fa riferimento alla circostanza che “l’accertamento è stato rilevato mediante immagini registrate da apposita telecamera di videosorveglianza mobile […]” .
A seguito di segnalazione il Garante è venuto a conoscenza di ciò e ha agito.
Il diritto
1) mancata informativa sul trattamento dei dati e tabella di preavviso area videosorvegliata a norma, anche per le zone dove sono ativefototrappole.
Il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di “liceità, correttezza e trasparenza”, in base al quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) del Regolamento) [1].
Dalla documentazione in atti è emerso che da quando è stato: “… sottoscritto il contratto di fornitura del sistema di videosorveglianza con la società ITS s.r.l […omissis…], il trattamento risulta essere effettuato in violazione dell’obbligo che impone al titolare del trattamento di rendere agli interessati una preventiva informativa, secondo quanto previsto dagli artt. 12, 13 e 14 del Regolamento“, anche attraverso adeguati pannelli informativi posti prima dell’area ripresa, anche da fototrappole [2].
2) mancata nomina di responsabile al trattamento dei dati della società ecologica.
Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 del Regolamento e artt. 28 e 29 del Codice).
In particolare il titolare deve formalizzare e disciplinare il rapporto con chi svolge trattamenti di dati personali per suo “per suo conto” (cons. 81, artt. 4, punto 8) e comunque mantiene una “responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti e pertanto deve essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento e che sono definite le privacy policies.
Da quanto emerso nel corso dell’istruttoria il servizio della gestione dei rifiuti solidi urbani è stato affidato, in data 28 marzo 2012, alla società, con la quale è stato sottoscritto un “accordo per la protezione dei dati personali e nomina a responsabile esterno del trattamento” solamente in data 14 gennaio 2022.
3) mancato svolgimento della valutazione d’impatto-DPIA.
Che è sempre obbligatoria in tutti i casi di “…sorveglianza sistematica su larga scala di una zona accessibile al pubblico e qualora vengano utilizzate nuove tecnologie (tra le quali rientrano anche le cd. fototrappole intelligenti utilizzate dalla società)“.
Risulta pertanto accertata la violazione dell’art. 35 del Regolamento che obbliga i titolari a svolgere la valutazione di impatto prima di dare inizio al trattamento, anche considerando che tale strumento è idoneo a comprovare la responsabilizzazione (accountability) del titolare nei confronti del trattamento effettuato.
La sanzione
Il Garante ha inflitto al Comune di Taranto, in persona del legale rappresentante pro-tempore (Sindaco):
- di pagare la somma di € 150.000,00 (centocinquantamila) a titolo di sanzione amministrativa pecuniaria, entro 30 giorni dalla notifica del provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
- di conformare i trattamenti alle disposizioni del Regolamento, adottando le misure correttive indicate dal Garante, entro e non oltre 30 giorni dalla data di ricezione con avviso che in difetto si applicherà una ulteriore sanzione;
- la pubblicazione del provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;
- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.
SCARICA L’ORDINANZA INGIUNZIONE: Sanzione per Comune di Taranto, GarantePrivacy n.162 del 28/04/22
NOTE
[1] Reg.UE 2016/679 GDPR, art. 4 (Definizioni) «Ai fini del presente regolamento s’intende per: 1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; […omissis…]».
[1] Reg.UE 2016/679 GDPR art. 5 (Principi applicabili al trattamento di dati personali) lett. c «1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»); …omissis…».
[2] cfr. artt. 5, 12, 13, 14 del Regolamento; parr. 117-119 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati personali, adottate il 29 gennaio 2020.
ALTRE SANZIONI PER ENTI PUBBLICI:
3.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI MONTE S.ANGELO (FG)
3.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI S.MARCO IN LAMIS (FG)
30.000 EURO DI MULTA DAL GARANTE PER IL COMUNE DI FORMIA (LT)
75.000 EURO DI MULTA DAL GARANTE PER IL MISE E LA REGIONE LAZIO
GLI ALTRI ARTICOLI SULLA PRIVACY DELLO STESSO AUTORE:
USO ILLEGITTIMO DELLE FOTOTRAPPOLE E INAMMISSIBILITÀ DA PARTE DI AZIENDE PRIVATE
IL DIRITTO DI ACCESSO E LA TRASPARENZA NON SONO VALORI ASSOLUTI
DELLE VIOLAZIONI ALLA PRIVACY RISPONDONO I DIPENDENTI DELL’ENTE
RIPRESE ILLECITE POLIZIA SANZIONATA DAL GARANTE
I PIÙ FREQUENTI CASI DI DATA BREACH
IL FINE NON GIUSTIFICA I MEZZI